Características de un Crypter

En los últimos años los crypters han evolucionado y junto a estos las características que poseen, a continuación veremos y explicaremos cada una de estas de manera detallada y las miraremos desde todos los puntos de vista, tanto del lado negativo como del positivo.

Además nombraremos algunas funciones no recomendadas en los crypters y herramientas debido a que son detectadas por los antivirus (falsos positivos), bueno sin más preámbulos empecemos:

Mutex: Es una opción cuya finalidad es la ejecución de nuestro archivo una sola vez, así evitaremos más ejecuciones del mismo archivo y no aumentaremos el CPU de nuestro sistema.

Compresión UPX: Aunque esta característica esta puesta en la mayoría de los casos como “Compress” o simplemente “UPX” su principal y única función es la de reducir el peso del archivo encriptado, por ejemplo al encriptarlo sin UPX nos da un archivo de 200kb y con UPX nos daría de tan solo 120 kb, es decir la reducción es notable, a todo esto hay que añadir que en algunos casos el uso de esta opción puede añadir alguna detección en el archivo encriptado (casi nunca, pero es posible).

Delay: Esta función lo que hará será retardar los segundos/minutos/días/meses especificados la ejecución del archivo una vez iniciado, en algunos se tiene esta opción para que esta se ejecute en fechas específicas.

Startup / Installation: En los crypters y diferentes herramientas se suele respetar la terminología anglosajona, pero bueno explicare un poco en que consiste esta característica y es que para muchos programadores/desarrolladores/usuarios es necesario que inicie con Windows en cada inicio su aplicación o proyecto pues bueno esta opción cumple ese requisito, añade nuestro software al inicio de Windows, existen formas diferentes de añadir y son las siguientes:

  • Mediante Regedit ( añadiendo el archivo en el registro de Windows ) – Este método es visible generalmente si vamos a inicio y tecleamos: “Ejecutar” a continuación pondremos Msconfig y en inicio aparecerá
  • Mediante la carpeta de inicio de Windows es otra moviendo el archivo a la siguiente carpeta: C:\usuarios\defaultuser\AppData\Roaming\ Microsoft\Windows (ponemos disco “C” ya que generalmente este suele ser el principal, una manera más rápida de llegar a esta ruta es poniendo %appdata%\Roaming\Microsoft\Windows esta técnica es bastante detectada por los antivirus.
  • Otra técnica es mediante Task Scheduler (el Administrador de tareas de Windows) esta técnica es una de las más avanzadas en lo que se refiere iniciar sesión con Windows, obviamente todo depende la manera que se emplean las técnicas para evadir de esta manera los falsos positivos.

Persistencia en el archivo: ¿Pero qué significado tiene esto? Bueno a continuación veremos su función y es que tal como dice el nombre lo que hace es que en caso de que el archivo sea borrado de un directorio este vuelva a reaparecer ¿Pero para qué? Antiguamente los antivirus cuando detectaban un archivo malicioso este era eliminado del directorio (generalmente solía estar en el inicio de Windows) entonces cuando estos trataban de borrarlo al estar el proceso en ejecución no se podía borrar y persistía, esto pasaba también cuando un usuario trataba de borrarlo.

Persistencia en el proceso: Con esto conseguiremos que nuestro proceso este siempre ejecutado y que en caso de que se elimine desde el administrador de tareas o desde cualquier gestor de procesos de Windows este reaparezca en un plazo programado. En lo que a Malware respecta explicaremos de manera educativa para que se pone esta opción y es que así el usuario remoto al darle a eliminar este pensaría que lo elimino, sin embargo lo que el no sabe es que se iniciara el proceso en breve.

Persistencia en el inicio de Windows: Esta persistencia hoy en día es de las más usadas ya que muchos desarrolladores de aplicaciones quieren poner sus programas al iniciar Windows y los antivirus o bien el usuario suelen confundirse e intentan eliminar del inicio nuestras aplicaciones, con esto cada vez que el usuario trate de borrarnos ya bien sea desde Regedit (las llaves de registro de Windows) o bien desde el Msconfig (Utilidad de configuración del sistema) el archivo vuelva a añadirse, cabe resaltar que estas dos técnicas mencionadas con anterioridad ya están algo (bastante) obsoletas y ahora se usan técnicas más avanzadas.

Botkill: Como bien dice el nombre lo que hace es matar (eliminar) archivos que sean bots ya bien sea Malware en general ( virus ) o bien todos aquellos archivos que estén en el inicio de Windows y no sean archivos oficiales de Windows, de esta manera lo que hacemos es quitar todos aquellos archivos que arrancan con nuestro sistema y dejamos solo nuestro archivo ejecutado.

Anti-Botkill: Bueno ahora hablaremos acerca del famoso Anti-Botkill ya que previamente hemos hablado del Botkill y sabemos lo que es, bueno muchas veces (la mayoría de veces) no queremos que nos eliminen nuestros archivos y ninguna persistencia es la solución a un Botkill, la solución es prohibir que el proceso sea tocado, ¿Cómo? Bueno antiguamente una manera de hacer un Anti-Botkill en Windows XP Service pack 1 era que al ejecutarse nuestro archivo se llamara “cftmon.exe” de esta manera al tratar de eliminar el proceso no podría y este con persistencia en el startup se mantenía al siguiente inicio con Windows, hoy en día hay otros métodos más avanzados.

Como dato informativo destacaremos un bug que salió en el año 2013 que afecta a todos los sistemas Windows 7 tanto de 32 como de 64 bits, el bug es llamado: ProcessIoPriority Bug (BSOD/Non-Killable Process) y hace intocable el archivo frente a cualquier usuario o software.

Actualmente se puede hacer un Anti-Botkill para cualquier Windows, los ejemplos explicados con anterioridad son de uso educativo para tener conocimiento acerca del mismo.

UAC Disable: Como bien dice el nombre deshabilita el UAC ¿pero que es el UAC? (User account control) seria el Control de Cuentas de Usuario (UAC por sus siglas en inglés) es una tecnología e infraestructura de seguridad que Microsoft. El principal objetivo es impedir que aplicaciones no deseadas realicen cambios en el sistema, pues bueno a partir de esta información podemos tomar ciertas decisiones, imaginemos que queremos abrir 10 archivos que requieren la aceptación de la alerta de Windows UAC, bueno pues deshabilitándolo podemos hacer miles de cosas, como ejecutar mediante un RAT (Remote administration tool) archivos en modo Administrador sin ningún problema.

UAC Forcer: A mi parecer es una técnica bastante agresiva y persistente debido a que obliga al usuario a aceptar un mensaje de confirmación (el del UAC) para que nuestro archivo sea ejecutado como administrador, esta función la suelen poner programadores en sus proyectos dado que muchas veces el usuario trata de abrir la aplicación pero este no lo confirma, entonces para evitar esto fuerzan la ejecución.

UAC Bypass: La tecnología en los crypters avanza de manera vertiginosa y es que si hablamos de avances a mi parecer este es uno de los grandes avances para todos los crypters hasta el 2017. ¿Pero qué es lo que hace para que lo vea tan avanzado? Bueno eleva como administrador tu archivo con dos clics sin pedir permiso al usuario pudiendo el archivo encriptado hacer cualquier cosa, para mi esta función en los crypters marca un antes y un después.

Antis: Los antis que se encuentren en un crypter o una herramienta de administración remota (RAT) sirve para que en caso de que el software a encriptar sea incompatible con un determinado programa se cierre, es decir si no nos interesa que nuestra aplicación funcione en sistemas con Olly DBG automáticamente se cerrara nuestro proceso, evitando así su funcionamiento. Existen infinidad de antis, desde evitar ejecuciones en máquinas virtuales hasta evitar ejecutarse en programas de crackeo (intento de romper la seguridad del ejecutable) etc, los antis también sirven como defensa ante cualquier intento de crackeo o de ver cómo funciona nuestro software.

Disablers: Esta técnica a mi parecer es un poco agresiva en el sentido que recomendamos a todos nuestros usuarios que usan crypters que alerten al usuario que va a ejecutar el archivo de que determinados programas pueden ser cerrados, esta función deshabilita el programa especificado.

File Size Pumper: Aumentaremos el peso de nuestro archivo, es decir si pesa dos megas pasara a pesar los megas indicados, podemos añadir dependiendo de la herramienta o bien bytes, kilobytes, megabytes e incluso Gigabytes.

Binder: Esta opción lo que hace es añadir archivos en la ejecución de un archivo, pasemos a explicarlo, imaginemos que tenemos 30 archivos que necesitamos añadir a un ruta y ejecutarlos, para esto existe esta opción, en donde podemos abrir imágenes automáticamente al abrir un archivo o bien un psd, pdf, doc, soporta infinidad de extensiones, a continuación dejaremos algunas: .exe | .bat | .doc | .scr | .bmp | .avi | .png | .jpg | .com | .mp3 | .mp4 | .odt entre muchas más, nuestro crypter soporta más de 70 extensiones dando asi libertad de elección a nuestros clientes.

Downloader & Execute: El famoso downloader en los crypters es poco usual pero es muy importante si lo que queremos es evitar peso en nuestros archivos, podemos meter una url con un archivo de 200 mb y que el ejecutable solo pese 1 mb ¿Qué quiere decir esto? Quiere decir que al abrirse el encriptado se empezara a descargar el archivo de la url (sería algo como www.website.com/file.exe) y este será ejecutado una vez finalizada la descarga, recordemos que como es a través de una web podremos modificar el archivo subiendo uno nuevo.

Melt: En ingles “derretir” esta función lo que hace es “desaparecer” el archivo de la visión del usuario que ejecuto el archivo, a continuación veremos los 3 tipos de melt más conocidos:

  • El que se auto-elimina del disco duro tras cumplir sus objetivos en su primera ejecución (no queda rastro ni en memoria ni en disco).
  • El otro tipo seria inyecta el fichero en memoria mientras que en disco se auto-elimina (se sigue ejecutando pero no existe en el disco duro) este sirve principalmente para actualizaciones, desinstalaciones.
  • y por ultimo este realiza una copia del archivo a otra ruta (como Appdata) y ejecuta dicha copia y elimina el archivo original, este por lo general es el más común.

Assembly Information: Es la información de descripción que aparece en el archivo, que puedes observarla al dar clic derecho > propiedades > detalles.

Icon Changer: El cambiador de iconos de nuestro crypter te ofrece dos posibilidades:

  • Elegir tu propio icono con formato “.ico”
  • Elegir los iconos que se encuentran en el propio crypter

Cualquiera de las dos formas cambiará el icono de nuestro archivo al seleccionado.

Todas las características mencionadas con anterioridad son las más conocidas tanto en crypters como en RAT’s (herramientas de administración remotas) a continuación dejare una lista de algunos de los rats y como se deben configurar con un crypter.

Crypter para Darkcomet RAT

Crypter para Njrat RAT

Crypter para Luminosity Link RAT

Crypter para Nanocore RAT

Crypter para Cybergate RAT

Crypter para Netwire RAT

Crypter para Imminent Monitor RAT

Crypter para Orcus RAT

Cada uno de los artículos anteriores describen brevemente cómo deben de encriptarse los archivos con esos RAT’s aunque realmente casi todos llevan el mismo patrón.

Finalizaremos el artículo aclarando que todo lo descrito esta echo con fin educativo.

También te podría gustar...